NIST SP 800-55: : Cybersecurity braucht seriöse Buchhaltung : Neuauflage des Standards für Metriken und Kennzahlen zur Informationssicherheit

Quantifizierbare Assessments

Unternehmen oder Behörden – Organisationen im Allgemeinen – führen verschiedene Arten von Assessments durch, wenn sie Informationssicherheitsrisiken evaluieren. Dazu zählen Risikobewertungen, Programmbewertungen und Assessments von Kontrollen (Controls), wobei die beiden letztgenannten schlussendlich ebenfalls Formen der Risikobewertung sind – allerdings solche, die eine alternative Perspektive auf Informationssicherheitsrisiken bieten.

Risikobewertungen dienen bekanntlich dazu, jene Risiken zu identifizieren, denen eine Organisation ausgesetzt ist, und können die Entscheidungsfindung hinsichtlich von Investitionen oder der Auswahl geeigneter Sicherheitsmaßnahmen unterstützen, mit denen sich diese Risiken mitigieren lassen.

Programmbewertungen – wobei mit „Programm“ hier ein Informations-Sicherheits-Programm gemeint ist – werden durchgeführt, um Entscheidungen über Strategien, Richtlinien (Policies), Verfahren und Abläufe zu treffen, die den Zustand und besonders die Fortschritte eines Programms bestimmen. Das Assessment von Kontrollen dient dazu, zu ermitteln, ob bestimmte Kontrollen wie beabsichtigt funktionieren und die avisierten Ergebnisse erzielen.

Diesen drei Typen von Assessments der Informationssicherheit widmet sich ein im Dezember 2024 veröffentlichter Standard – die sogenannte „Special Publication“ (SP) – des National Institute of Standards and Technology (NIST) des US Department of Commerce: NIST SP 800-55 Measurement Guide for Information Security. Erst kurz vor der Veröffentlichung wurde der Standard in zwei Teile aufgeteilt:

• Volume 1: Identifying and Selecting Measures [1] richtet den Fokus auf die Identifikation und Auswahl von Kennzahlen für die Informationssicherheit.
• Volume 2: Developing an Information Security Measurement Program [2] konzentriert sich auf die Entwicklung eines Programms zur Vermessung der Informationssicherheit.

In beiden Teilen des NIST-Standards wird der Begriff Cybersecurity synonym zu „Informationssicherheit“ verwendet. Die Informationssicherheit (Information Security) wird dabei – traditionell – als Schutz von Informationen und Systemen vor unbefugtem Zugriff, Nutzung, Offenlegung, Störung, Veränderung oder Zerstörung verstanden, um Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten.

Ein Programm im Sinne der NIST SP 800-55v2 wird als eine „flexible Struktur“ definiert, die Aktivitäten im Zusammenhang mit der Entwicklung und Implementierung von Cybersicherheitsmaßnahmen unterstützt. Eine Kontrolle (Control), die auch aus gängigen Informationssicherheitsstandards wie ISO 27001 oder ISO 27702 bekannt sein dürfte, wird in den NIST-Standards als Bezeichnung für identifizierte Gegenmaßnahmen zur Steuerung und/oder Bewältigung von Informationssicherheitsrisiken verwendet (vgl. dazu auch NIST SP 800-53 Security and Privacy Controls for Information Systems and Organizations [3]).

Was ist neu – was bleibt?

Auf die jetzige Neuauflage des NIST-Standards haben IT-Sicherheitsverantwortliche mehr als 16 Jahre gewartet – die letzte Version der SP 800-55 (Rev. 1) ist auf Juli 2008 datiert (vgl. [4]).

Obwohl sich an den Methoden zur Berechnung von Prognosen, Wahrscheinlichkeiten, Datenanalysen oder Mittelwerten sowie Anteilen nicht viel geändert haben dürfte (der Standard verweist hierzu auf die ausführliche Behandlung statistischer Methoden im NIST Engineering Statistics Handbook [5]), sind sowohl die Anforderungen an die Datenqualität als auch die Möglichkeiten der Datenerfassung sowie die Anzahl der verfügbaren, potenziellen Datenquellen in den Jahren des Betriebs von Informationssicherheits-Managementsystemen (ISMS) erheblich gestiegen.

Darüber hinaus erscheint eine Konkretisierung und Detaillierung der Methoden und Qualitätsanforderungen gerade im Hinblick auf die Verbreitung der Nutzung KI-gestützter Tools – etwa im Bereich der Prognosen – sowohl sinnvoll als auch notwendig. Dies gilt umso mehr, als die Ergebnisse der Assessments – ob quantitativ, quasi-quantitativ oder qualitativ – der Herausforderung standhalten müssen, wiederholbar, nachvollziehbar und prüfbar beziehungsweise auditierbar zu sein. Dies stellt besondere Anforderungen an standardisierte Datenformate, die Validierbarkeit und Integrität der Daten sowie deren Qualität.

Methoden zur Bereinigung des Datenmaterials (Data Cleaning), standardisierte und nachvollziehbare Berechnungsmethoden, eine präzise und zielgerichtete Wahl der Herleitungsmethoden für Kennzahlen sowie ein standardisiertes und zielgruppengerechtes Reporting und eine klare Kommunikation sind ebenfalls essenziell.

Der Fokus der NIST-Standards liegt dementsprechend auf quantitativen Methoden und der Vermessung der Informationssicherheit – jedoch nicht ohne zu betonen, dass SP 800-55 bewusst modellneutral in Bezug auf spezifische Methoden der Risikoanalyse bleibt.

Die meisten Organisationen nutzen eine Kombination aus quantitativen, semi-quantitativen und qualitativen Bewertungen, um den Erfolg ihrer Informationssicherheitsprogramme zu beurteilen. In SP 800-55 werden jedoch qualitative und semi-quantitative Bewertungen nicht als Messungen betrachtet – die dabei erzeugten Werte gelten nicht als Messgrößen. Eine Messung oder eine Kennzahl im Sinne des Standards ist demnach all das, was sich auf einer nominalen, ordinalen, Intervall- oder Verhältnis-Skala (Ratio Scale) abbilden lässt (siehe S. 3 in [1]).

Kennzahlen sind nur der Anfang

Eine weitere Motivation für die Überarbeitung des NIST-Standards dürfte die sich stetig verschärfende Bedrohungslage im Bereich der Cybersicherheit gewesen sein: Diese zwingt Unternehmen und Behörden einerseits zu steigenden Ausgaben und Investitionen in Sicherheitsmaßnahmen, erhöht andererseits aber auch den Bedarf an belastbaren Nachweisen über die Wirksamkeit (Effektivität) und Effizienz von Informationssicherheitsprogrammen und Kontrollen. Mit der Effektivität eines Programms ist gemeint, dass implementierte Prozesse und Sicherheitskontrollen wie vorgesehen funktionieren und die gewünschten Ergebnisse erzielen. Effizienz bezieht sich hingegen nicht auf den Beitrag der Informationssicherheit zur Erreichung von Unternehmens- oder Sparzielen, sondern darauf, wie schnell Prozesse und Kontrollen nützliches Feedback liefern.

Hinzu kommt der Trend zur Mikroregulierung, etwa in der EU mit der NIS-2-Richtlinie. Diese weist den Leitungsgremien von Organisationen explizit die Verantwortung (Accountability) für Cybersicherheitsrisiken zu – was wiederum die Bedeutung von verständlichen und für diese Zielgruppe geeigneten Assessments und Kennzahlen erhöht.

Um diese Entwicklungen zu adressieren, unterstützt SP 800-55 die strukturierte und systematische Erzeugung von vier Typen von Bewertungsergebnissen:

• Implementierung beziehungsweise Umsetzung (Implementation): Überprüfung und Bewertung des Fortschritts spezifischer Kontrollen
• Programm-Ergebnisse (Program Results): umfasst die Bewertung der Effektivität beziehungsweise Wirksamkeit (Effectiveness), wie gut Kontrollen funktionieren und ob sie die gewünschten Ergebnisse erzielen, sowie der Effizienz (Efficiency) im Sinne einer Überprüfung der Reaktionsgeschwindigkeit von Kontrollen, indem gemessen wird, wie schnell diese greifen (z.B. wie rasch aufgedeckte Schwachstellen behoben werden).
• Auswirkung (Impact): Analyse der Auswirkungen der Informationssicherheit auf die Ziele und/oder die Strategie der Organisation

Beispiele für Kennzahlen zur Bewertung von Informationssicherheitsprogrammen sind etwa der Prozentsatz der IT-Systeme mit genehmigten Sicherheitsplänen oder der Prozentsatz der IT-Systeme, für die Passwortrichtlinien gemäß den internen Vorgaben beziehungsweise Policies implementiert sind.

Eine Bewertung der Wirksamkeit kann entweder auf den Nachweisen und Ergebnissen einer quantitativen Analyse von Kennzahlen basieren oder in einem qualitativen Ja/Nein-Schema erfolgen. Solche Kennzahlen erfordern jedoch oft mehrere Datenpunkte, die sowohl den Fortschritt bei der Umsetzung von Sicherheitskontrollen als auch deren Auswirkungen auf die Informationssicherheitslage einer Organisation quantifizieren. Zudem lassen sich systembezogene Aspekte der Kontrollen durch geeignete Kennzahlen bewerten – beispielsweise den Prozentsatz der Server innerhalb eines IT-Systems, die einer standardisierten Konfiguration entsprechen.

Die Assessments bauen aufeinander auf: Erst wenn Sicherheitskontrollen und Gegenmaßnahmen implementiert wurden und Kennzahlen den Fortschritt dieser Umsetzung belegen, sollte die Bewertung der Effektivität und Effizienz des Informationssicherheitsprogramms erfolgen. Liegen sowohl Kennzahlen über Implementierung als auch Programmbewertungen vor, weist der NIST-Standard darauf hin, dass weitere Analysen – vergleichbar etwa mit dem Verfahren der Normalisierung der Daten – erforderlich sind, bevor die Assessment-Ergebnisse einer nicht technisch fundierten Zielgruppe (wie CEO, CFO oder COO) präsentiert werden können.

KPIs sind gut, aber Metriken sind besser

Die im Rahmen von Assessments zur Informationssicherheit gewonnenen Kennzahlen und Messwerte sind nicht mit den in Deutschland bevorzugten Key-Performance-Indicators (KPIs) oder Key-Risk-Indicators (KRIs) zur Bewertung der individuellen oder kollektiven Zielerreichung gleichzusetzen.

Vielmehr handelt es sich um Metriken (Metrics), die der SP 800-55v1 als Kennzahlen und Ergebnisse von Assessments definiert. Ihr Zweck besteht darin, Fortschritte nachzuvollziehen, die Entscheidungsfindung zu erleichtern und die Performance – etwa von Sicherheitskontrollen oder Programmen – in Bezug auf ein festgelegtes Ziel zu verbessern. Dabei können Metriken im Sinne des NIST-Standards ausschließlich quantifizierbare und objektive Werte annehmen.

Bei der Ausrichtung der Metriken an festgelegten Zielen kommt eine Korrelation zwischen diesen Kennzahlen und den Unternehmenszielen zum Ausdruck. Zur Definition von Metriken werden interne Vorgaben, Strategien und Policies herangezogen. Ein methodischer Ansatz zur Ableitung von Metriken aus Unternehmenszielen ist beispielsweise das Goal-Question-Paradigma (GQP, vgl. [4]).

Nicht jede Kennzahl ist automatisch eine Metrik: KPIs oder KRIs können Metriken sein – doch nicht jede Metrik ist ein KPI oder KRI. Der NIST-Standard definiert Key-Performance-Indicators (KPIs) als Kennzahlen zur Messung des Fortschritts in Richtung angestrebter Ergebnisse – Key-Risk-Indicators (KRIs) hingegen werden als Metriken zur Bewertung von Risiken verstanden.

Metriken lassen sich auf System-, Programm- und Organisationsebene anwenden. Beispiele für systembezogene Metriken (bezogen auf einen bestimmten Zeitraum) sind

• die Häufigkeit des Zugriffs Dritter auf ein System
• sowie die Anzahl offener Ports.

Diese Metriken können taktische Entscheidungen unterstützen und zur Entwicklung von Metriken für Bewertungen auf Programmebene beitragen. Beispiele für solche programmbezogene Metriken sind:

• die Anzahl der Sicherheitsvorfälle pro Jahr und
• die Kosten pro Vorfall.

Diese wiederum sind hilfreich für strategische Entscheidungen auf Organisationsebene. Sowohl systemals auch programmbasierte Metriken können außerdem risikoorientierte Entscheidungen über den Einsatz technischer und organisatorischer Sicherheitskontrollen und -Maßnahmen unterstützen.

Charakteristika von Metriken

Was für Kennzahlen insgesamt gilt, trifft auch auf aussagekräftige Metriken zu: Sie zeichnen sich durch Objektivität, Genauigkeit und Präzision aus und müssen über eine festgelegte Referenz verfügen, an der sie gemessen werden – oder einen bestimmten Zeitpunkt, zu dem sie hergeleitet und die relevanten Daten erhoben wurden. Zudem müssen sie reproduzierbar sein. Quantitative Bewertungen stützen sich auf Daten und Statistiken, um so objektive und präzise Ergebnisse zu liefern.

Objektivität ist eng mit Konsistenz verknüpft: Objektivität erfordert, dass die Ergebnisse der Bewertungen nicht von den Personen oder Organisationseinheiten abhängen dürfen, die sie erheben oder verantworten – die Zahlen behalten ihre Bedeutung unabhängig vom Kontext. Ein Beispiel: 98% der autorisierten Konten entfallen auf aktuelle Mitarbeiter, während 2% ehemaligen Mitarbeitern zugeordnet sind. Die Werte „98%“ und „2%“ bleiben – unabhängig davon, wer die Daten erhoben oder bereitgestellt hat – stets gleich. Konsistenz in den Methoden und Kriterien gewährleistet zudem nicht nur zuverlässige Messungen – unabhängig vom Kontext und den beteiligten Personen –, sondern stärkt auch das Vertrauen in die ermittelten Kennzahlen.

Der Prozess zur Berechnung einer Metrik beginnt bereits mit der Erhebung und Sammlung von Daten zu Kontrollen, Prozessen und Maßnahmen der Informationssicherheit (vgl. Abb. 1). Eine Voraussetzung für die Analyse und Bewertung einschlägiger Metriken ist daher auch die Verfügbarkeit relevanter Daten aus IT-Systemen sowie dem ISMS-Betrieb (einschließlich IT-Notfallmanagementsystemen).

Unternehmen stehen verschiedene Methoden zur Datenerfassung und -sammlung zur Verfügung:

• Experimentelle Methoden: Hierzu zählen Tests, Untersuchungen oder Erprobungen. Ein Beispiel aus der Informationssicherheit ist ein Phishing-Test, bei dem (fingierte) Phishing-E-Mails versendet werden, um zu ermitteln, welche Nutzer darauf reagieren (und wie). Die Erfolgsrate eines solchen Tests wird anhand festgelegter Kriterien bewertet.
• Beobachtungsdaten: entstehen durch die Erfassung von Aktivitäten oder Verhaltensweisen, ohne dass die betroffenen Personen aktiv eingebunden sind. Ein Beispiel sind Daten, die Log-Management-Tools sammeln und die zur Analyse von Netzwerkaktivitäten dienen. Die aus diesen Logs gewonnenen Informationen sind Beobachtungsdaten und lassen sich für weiterführende Analysen verwenden.
• Stichproben (Sampling): Falls eine kontinuierliche Beobachtung oder passive Datenerhebung nicht möglich ist oder gezielt bestimmte Proben gezogen werden sollen, kommen Stichproben zum Einsatz. Dabei kann man unterschiedliche Verfahren anwenden – darunter: Zufallsstichproben (Random Sampling), bei denen die Auswahl der Stichprobe zufällig erfolgt – systematische Stichproben (Systematic Sampling), bei denen in festen Intervallen aus der Grundgesamtheit erfolgt Proben gezogen werden – geschichtete Stichproben (Stratified Sampling), in denen die Grundgesamtheit in homogene Gruppen (sog. Strata) unterteilt wird, aus denen man anschließend gezielt Proben entnimmt.

Anforderungen an die Daten-Qualität (Data Cleaning)

Im Vergleich zur Situation vor 16 Jahren stehen Unternehmen heute in der Regel zahlreiche Datenquellen und umfangreiche Datendepots zur Verfügung. Neben historischen Informationen aus eigenen Tests, Audits und Prüfungen zählen dazu Daten aus Incident-Management-Systemen, System-Logfiles und Protokolldateien oder etwa Ergebnisse aus Penetrationstests. Auch indirekt ermittelte Informationen sowie historische Kennzahlen und Indikatoren – darunter die False-Positive-Rate, KPIs, KRIs, Früh- oder Spätindikatoren sowie die MeanTime-to-Detect (MTTD) und Mean-Time-to-Recovery (MTTR) – lassen sich für Assessments und die Entwicklung neuer Metriken heranziehen.

Die Qualität der Daten ist dabei von wesentlicher Bedeutung – allem voran ihre Integrität, Genauigkeit und Struktur. Der NIST-Standard fordert zusätzlich, dass sie quantifizierbar und objektiv sein müssen.

In Fragen der Datenanalyse verweist der NIST Standard auf das NIST Engineering Statistics Handbook [5] und beschreibt drei gängige Ansätze:

• Klassische Datenanalyse: Methoden wie Regression und Varianzanalyse (ANOVA)
• Explorative Datenanalyse: Einsatz von Diagrammen zur Standardabweichung oder Histogrammen sowie
• Prädiktive Methodik mit der Bayes-Formel: zur Berechnung erwarteter Wahrscheinlichkeiten auf Grundlage historischer (Teil-)Wahrscheinlichkeiten
• Die folgenden Beispiele zeigen, wie sich Methoden der klassischen Datenanalyse (Durchschnittswert, Varianz oder lineare Regression) für die Programmbewertungen und Assessments der Sicherheitskontrollen einsetzen lassen:
• Durchschnittliche Zeitzur Durchführung einer Aktion: Für die Kontrolle „Personally Identifiable Information Quality Management“ wird erfasst, wie lange es dauert, fehlerhafte oder veraltete personenbezogene Daten zu korrigieren oder zu löschen; zudem kann man die jährliche Varianz berechnen.
• Lineare Regression: Die Sicherheitskontrolle „Continuous Monitoring“ kann für einen bestimmten systembezogenen Messwert implementiert werden. Die auf diesem Wege erfassten Daten lassen sich mittels linearer Regression analysieren, um den Normalzustand für das jeweilige System zu bestimmen und in den folgenden Erfassungsperioden potenzielle Abweichungen erkennen zu können.

Wie und wo soll man Metriken einsetzen?

Der Vorteil der Nutzung von Metriken statt einfacher Kennzahlen lässt sich an folgendem Beispiel verdeutlichen: Will man feststellen, ob bekannte beziehungsweise identifizierte Schwachstellen in einem akzeptablen Zeitraum behoben werden, liefert die durchschnittliche Zeit zur Behebung einer Schwachstelle – entsprechend MeanTime-to-Recovery/-Repair (MTTR) – eine präzisere Einschätzung der Effizienz des Patch-Managements als lediglich die Anzahl der innerhalb eines Jahres behobenen Schwachstellen. Organisationen können von diesen quantitativen Bewertungen profitieren und ihre Ziele gegebenenfalls anpassen, besonders wenn die Messungen systematisch und regelmäßig erfolgen.

Ein weiteres Beispiel – diesmal aus dem durch Art. 20 der NIS-2-Richtlinie erneut in den Fokus gerückten Themenbereich des Security-Awareness-Trainings – zeigt, dass der Zweck, für den eine Metrik definiert wird, entscheidend für deren Aussagekraft und Nützlichkeit ist: Die Ergebnisse der Messungen müssen eindeutig und leicht verständlich sein; und die gewählten Kennzahlen sollten eine aussagekräftige Geschichte über die Informationssicherheit auf der Ebene der Organisation, des Programms oder des Systems erzählen. So sollte man bei der Bewertung von Schulungen zur Cybersicherheit den Anteil der Teilnehmer an der Gesamtzahl der Mitarbeiter sowie die Ergebnisse von Evaluationen der Lernfortschritte berücksichtigen, anstatt die Teilnahmequote lediglich als „niedrig“, „mittel“ oder „hoch“ zu klassifizieren.

Die Berechnung des Flesch-Index (FI) für Leseleichtigkeit (Reading Ease) erfolgt nach folgender Formel:

• Originalformel für englische Texte: FI = 206,835 – 84,6 x WL – 1,015 x SL
• angepasste Formel für deutsche Texte ([10], siehe aber auch [11]): FI = 180 – 58,5 x WL – SL

WL = durchschnittliche Wortlänge in Silben (ohne Schluss-e),

SL = durchschnittliche Satzlänge in Wörtern

Der Index liegt in der Regel zwischen 0 und 100. Je niedriger der Index, desto schwieriger der Text – ein Wert unter 20 bedeutet, dass der Text vorrangig für Akademiker geeignet ist (vgl. [10, 11]).

Mit dem Flesch-Index lassen sich zwei zentrale Metriken erfassen:

• Leseleichtigkeit und Verständlichkeit von Richtlinien, Anweisungen oder Instruktionen zur Informationssicherheit für Mitarbeiter (z. B. Regeln für Passwortwechsel, Sicherheitseinstellungen für Videokonferenzsysteme etc.).
• Eignung der Richtlinien für die adressierte Zielgruppe, da unterschiedliche Zielgruppen unterschiedliche Anforderungen an die Lesbarkeit haben. So kann für Mitarbeiter im Rechnungswesen ein höherer Flesch-Wert angebracht sein, während für Mitglieder des IT-Admin-Teams womöglich ein niedrigerer Wert angemessen sein könnte.

Solche Metriken sind wesentlich aussagekräftiger als KPIs oder einfache Kennzahlen, wenn es darum geht, zu bewerten, ob die Inhalte der Sicherheitsrichtlinien ihre Zielgruppe erreichen, verstanden werden können und ihre Lesbarkeit den Erwartungen sowie dem Bildungsstand der Leser entspricht.

Fazit

Im Zeitalter von Kosteneinsparungen, die bisweilen nicht nur das als Bürokratiemonster empfundene Datenschutzmanagement, sondern auch das Informationssicherheitsprogramm und die IT-Sicherheitsbeauftragten betreff en, sowie angesichts von KI-generierten Prognosen oder drastischen Effizienzmaßnahmen wie durch das U.S. Department of Government Efficiency (DOGE) sticht die NIST SP 800-55 als Wegweiser zurück zu einer „seriösen Buchhaltung“ in der Informationssicherheit hervor.

Der Standard zeigt, wie sich aus einer Vielzahl quantifizierbarer Daten, die Organisationen im Rahmen des Informationssicherheitsmanagements – etwa aus dem Schwachstellen- und Incident-Management oder Systemen zur Angriffserkennung (SzA) – gewinnen, tatsächlicher Nutzen generieren lässt.

Besonders durch die systematische Bewertung von Informationssicherheitsprogrammen hinsichtlich ihrer Effektivität und Effizienz können Verbesserungen gezielt identifiziert und eingeleitet werden. Darauf aufbauend lässt sich schließlich die Auswirkung (Impact) der Informationssicherheit auf die spezifische Mission, die strategischen Ziele und Erfüllung der regulatorischen Vorgaben einer Organisation bewerten und in aussagekräftige, aber verständliche und nachvollziehbare Kennzahlen überführen.

Dr. Aleksandra Sowa ist zertifi zierte Datenschutzbeauftragte, Datenschutzauditorin und IT-Compliance-Manager, Sachverständige für IT-Sicherheit sowie Mitglied im Leitungskreis der FG „Datenschutzfördernde Technik (Privacy-Enhancing Technologies)“ der GI e. V

Literatur

_{[1] Katherine Schroeder, Hung Trinh, Victoria Pillitteri, Measurement Guide for Information Security, Volume 1 – Identifying and Selecting Measures, NIST SP 800-55 Vol. 1, Dezember 2024, https://csrc.nist.gov/pubs/sp/800/55/v1/final beziehungsweise https://doi.org/10.6028/NIST.SP.800-55v1} 

_{[2] Katherine Schroeder, Hung Trinh, Victoria Pillitteri, Measurement Guide for Information Security, Volume 2 – Developing an Information Security Measurement Program, NIST SP 800-55 Vol. 2, Dezember 2024, https://csrc.nist.gov/pubs/sp/800/55/v2/final  beziehungsweise https://doi.org/10.6028/NIST.SP.800-55v2}  

_{[3] U.S. National Institute of Standards and Technology (NIST) Joint Task Force, Security and Privacy Controls for Information Systems and Organizations, NIST SP 800-53 Revision 5, September 2020, https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final beziehungsweise https://doi.org/10.6028/NIST.SP.800-53r5}

_{[4] Aleksandra Sowa, Stephen Fedtke (Hrsg.), Metriken – der Schlüssel zum erfolgreichen Security und Compliance Monitoring, Design, Implementierung und Validierung in der Praxis, Vieweg+Teubner, April 2011, ISBN 978-3-8348-1480-7}

_{[5] NIST/Sematech, e-Handbook of Statistical Methods, April 2012, https://doi.org/10.18434/M32189}

_{[6] Aleksandra Sowa, Program-Development-Control, Design und relevante Metriken, 2010# 6, S. 56 [7] Aleksandra Sowa, Access Control Controls, Metrik für den IT-Security-Compliance-Report am Beispiel von Zugriffsberechtigungen, <kes> 2010#1, S. 12}

_{[8] Aleksandra Sowa, Sicherheitsrichtlinie: hilfreich oder hinderlich?, Metriken zur unmittelbaren Bewertung und Beurteilung der Effektivität von Security-Policies, <kes> 2012#3, S. 18}

_{[9] Aleksandra Sowa, Beauty is our Business, SoftwareMetriken als Grundlage für Gütesiegel zu Sicherheit und Qualität, <kes> 2018#2, S. 74}

_{[10] Erik Buchmann, Susanne Eichhorn, Von Amtsdeutsch bis Fachchinesisch, Verständlichkeit von Fachtexten am Beispiel des Standard-Datenschutzmodells, 2020# 4, S. 10, www.kes-informationssicherheit.de/print/titelthema-kuenstliche-intelligenz-angriffsflaeche-und-rechtsfragen/von-amtsdeutsch-bis-fachchinesisch/ (<kes>+)}

_{[11] Christian Bachmann, Warum verwenden Sie die englische statt der deutschen Formel?, FAQ zum Lesbarkeitsrechner, undatiert, www.leichtlesbar.ch}